Données à conserver, décrêt du 20/10/2021
... / Données à conserver, décr...
BMPCreated with Sketch.BMPZIPCreated with Sketch.ZIPXLSCreated with Sketch.XLSTXTCreated with Sketch.TXTPPTCreated with Sketch.PPTPNGCreated with Sketch.PNGPDFCreated with Sketch.PDFJPGCreated with Sketch.JPGGIFCreated with Sketch.GIFDOCCreated with Sketch.DOC Error Created with Sketch.
question

Données à conserver, décrêt du 20/10/2021

Par
Sich
Contributeur
Créé le 2021-10-26 08:17:28 (edited on 2024-09-04 13:59:00) dans Brèves de comptoir-old

Hello,

Notre gouvernement ami de la liberté, du respect de la vie privée et de l'anonymat vient de nous sortir un nouveau décret concernant les données à conserver sur les personnes publiant du contenu en ligne...
Cela s'applique aux hébergeurs, FAI, etc...
nota bene : si vous avez un VPS ou un dédié vous êtes de facto hébergeur et concerné par ce décret...

Bref, je donne la source ici : https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000044228912

J'aimerai un avis de juriste, de pro ou autre...
Je vais essayer de voir avec la chambre des métiers de mon côté si je peux avoir des précisions...

Mais en gros il faut collecter lieu et date de naissance, l'adresse physique, le mail, le téléphone de toute personne pouvant créer du contenu en ligne...
Le webmaster, les utilisateurs qui font des commentaires (comme pour un forum)...

Bref ça va très loin dans la violation de la vie privée.. Les intervenants techniques n'ayant pas à se substituer au juge ou à tenir de tels registres...
Mais bon, "c'est la loi" qu'on nous dit...

Bref, je viens de tomber sur l'info, c'est passé en douceur, sans faire de bruit...
Si quelqu'un a un retour à me faire je prends...

Perso je suis infogérant (juridiquement l'hébergeur c'est le client, pas moi).
Je me contente de récupérer les données "techniques" (adresse ip, date / heure, etc).
Et encore, que pour la partie système, je ne m'occupe pas de ça côté wordpress par exemple...

Mais en dehors du fait que personne ne va appliquer un tel texte (c'est totalement impossible), je ne vois pas trop ce qu'espère le gvt avec de telles mesures...
Ha et rassurez vous, "c'est la police Française"...


8 réponses ( Latest reply on 2022-04-24 08:17:33 Par
Community Deleted user
)

Merci @Sich

On se croirait en chine.

Le conseiller juridique de la chambre des métiers est en congés, je dois le rappeler la semaine prochaine.... A voir si il pourra me donner son avis sur tout ça...

[EDIT]
A noter que dans les données techniques viennent de s'ajouter le port client...
Je cite :
[quote]c) L'adresse IP attribuée à la source de la connexion et le port associé ;[/quote]

A voir si ça concerne les hébergeurs vu que ça concerne je cite :
[quote] Les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne [/quote]
Difficile de faire + obscur, mais faut pas trop en demander au législateur, déjà qu'il ne comprend pas de quoi il parle...

Ce qui implique, par exemple si vous êtes sur Apache en utilisant le format de log combined, d'ajouter : %{remote}p dans vos logs pour logguer le port client...

Je vais déjà faire cette modif sur tous mes serveurs..
[/EDIT]

Merci @Sich.
J'ai pas vue passer ça sur Nextinpact

> 1° Les nom et prénom, la date et le lieu de naissance ou la raison sociale, ainsi que les nom et prénom, date et lieu de naissance de la personne agissant en son nom lorsque le compte est ouvert au nom d'une personne morale ;

Je comprends que je dois demander la date de naissance de mes clients. Ce que je ne fait pas.
Et donc en fait un simple système de commentaire devrait aussi la demander ?

Il y a l'article 12 aussi :

> La contribution à une création de contenu mentionnée au dernier alinéa des articles 5 et 6 du présent décret comprend les opérations portant sur :
> 1° Des créations initiales de contenus ;
> 2° Des modifications des contenus et de données liées aux contenus ;
> 3° Des suppressions de contenus.

Bref faut tout garder, avec toutes les versions si modifs + en cas suppression.
Les dev vont avoir du boulot.... Ha on me dit qu'il n'y en as déjà pas assez.

Edit :
Lien d'intérêt :
https://linuxfr.org/news/les-evolutions-recentes-ou-a-venir-de-la-legislation-francaise-autour-du-numerique-et-d-internet


Je comprends que je dois demander la date de naissance de mes clients.


Ha, on va commencer à demander la date de naissance pour pouvoir poster un commentaire. Je croyais que ça tombait sous le GDPR... et puis ça ne se fait pas, de demander son âge à une jeune fille :-)

La RGPD il y disent clairement "si la loi vous le demande, osef"...

Point 40 de la RGPD :
[quote]
Pour être licite, le traitement de données à caractère personnel devrait être fondé sur le consentement de la personne concernée ou reposer sur tout autre fondement légitime prévu par la loi
[/quote]

Donc du moment que la loi te le demande, osef de la RGPD et de la vie privée...

Concernant l'enregistrement des modifs, il me semble qu'il faut simplement conserver qui l'a fait (compte utilisateur), l'ip, etc...
Mais par exemple c'est ingérable sur un CMS ou forum...
Car il faudrait "tagguer" le message comme supprimé, mais le conserver dans la bdd...

Parce que je doute que lorsque l'on delete un article par exemple on trouve un beau log avec avec action=delete&postid=xxx&userid=xxx, ça serait trop beau...

Bref, encore une loi qui n'est pas applicable, qui ne sera pas appliquée, mais qui rajoute une couche d'insécurité juridique à bon nombres d'acteurs du web...
Favorisant ainsi que les grosses structures qui ont les moyens d'avoir un service juridique à la hauteur, et pouvant adapter leurs applis pour répondre aux nouvelles lois...


[EDIT]
Moi de mon côté ce que j'en comprends, c'est qu'on nous rajoute la couche identité réelle (date et lieu de naissance, adresse physique, tel, mail).
Là où avant on arrivait à s'en sortir avec un identifiant, une IP et basta.
Le problème dans tout ça c'est qu'il est totalement impossible d'exiger toutes ces données, car personne ne les donnera, donnera des fausses infos etc...
Donc on a la charge de vérifier qu'elles sont ok ?
On a la responsabilité de la sécurité de ces données !
Une fuite de données sur un login pass, bon, c'est pas top mais ça va...
Une fuite de données avec date et lieu de naissance, téléphone, adresse postale c'est moins fun déjà...
Et qui n'a jamais eu un wordpress piraté ou un compte FTP crée par un user avec un mot de passe bidon...
[/EDIT]

Tu as bien résumé les choses.


Bref, encore une loi qui n'est pas applicable, qui ne sera pas appliquée, mais qui rajoute une couche d'insécurité juridique à bon nombres d'acteurs du web...
Favorisant ainsi que les grosses structures qui ont les moyens d'avoir un service juridique à la hauteur, et pouvant adapter leurs applis pour répondre aux nouvelles lois...


C'est tout à fait le pb.
Ils sont hors sol, c'est pas nouveau. Heureusement que la justice (les juges) à encore un peu de bon sens.

Et dans tout ça, je suis à mon compte depuis + de 10 ans, j'ai eu une seule réquisition judiciaire........
Mais le jour où ça tombe faut pouvoir apporter les éléments demandé....

On s'emm.... à éplucher les textes, être en conformité, pour peut être ne jamais avoir à fournir quoi que ce soit.... ça fait des heures de tafs qu'on ne peut pas facturer et un risque supplémentaire (fuite de données en cas de hack, risque juridique, etc) ...

Tout ça pour pas gagner 1cts de +...
Et aller expliquer au client qu'on doit respecter tout un tas de textes "au cas où", quand il héberge le site d'une paroisse ou des sites "poubelles" de SEO qui ne servent qu'à "attirer" les bots Google c'est pas facile...

15 ème année à mon compte sans avoir trop de problème, je croise les doigts :)

Après, c'est sur que plus ça va plus l’excès de réglementation nous met en danger.
Il nous faudrait une sorte de syndicat pour nous mâcher le travail et nous protéger en cas de problème.

Perso je n'ai toujours pas digérer toutes les subtilitées du RGPD.
En fait cela m'ennuie toute cette partie réglementaire. Je suis pas juriste moi.
Vivement la retraite.

Ce sujet a été automatiquement fermé après 180 jours. Aucune réponse n'est permise dorénavant.

Les réponses sont actuellement désactivées pour cette question.